Tecnologia

Google risolve due difetti zero-day ad alta gravità in Chrome

Google risolve due difetti zero-day ad alta gravità in Chrome

È tempo di aggiornare Chrome e ancora una volta, per il terzo mese consecutivo, Google ha corretto due bug “zero-day” precedentemente sconosciuti nel browser desktop più popolare al mondo.

Google ha rivelato di aver corretto i due difetti zero-day ad alta gravità nelle note di rilascio per il rilascio stabile di Chrome versione 95.0.4638.69 per Windows, Mac e Linux.

Qualsiasi numero di versione superiore a quello avrà le correzioni.

È una buona idea controllare la pagina di supporto di Google per gli aggiornamenti di Chrome, che spiega come impostare Chrome per l’aggiornamento automatico quando le patch diventano disponibili.

File:Google Chrome logo and wordmark (2015).png - Wikipedia

Altrimenti, Chrome ha un pulsante “Aggiorna” che è colorato in rosso se un aggiornamento ha almeno una settimana, indicando che dovrebbe essere installato.

I due difetti zero-day, che ora vengono sfruttati dagli aggressori, vengono tracciati con gli identificatori CVE-2021-38000 e CVE-2021-38003.

Entrambi sono stati trovati dal Threat Analysis Group (TAG) di Google, che tiene traccia delle attività di exploit sponsorizzate dallo stato e dei cyber-criminali.

Il secondo dei due zero-day è stato riportato anche da Samuel Groß di Google Project Zero il 26 ottobre, indicando la velocità con cui Google sta rispondendo alle scoperte zero-day.

CVE-2021-38000 è un difetto di progettazione dovuto a “convalida insufficiente di input non attendibili negli intenti”. E segnalato da TAG il 15 settembre.

CVE-2021-38003 – un difetto di corruzione della memoria, secondo il tracker zero-day di Google Project Zero – è descritto vagamente come “implementazione inappropriata in V8”. V8 è il potente motore JavaScript di Chrome che Groß spera di sostenere con ulteriori protezioni sandbox. Come ha notato nella sua proposta, i bug V8 consentono agli aggressori di creare “exploit insolitamente potenti” che sono difficili da mitigare con le tecnologie di sicurezza esistenti.

“Google è consapevole che esistono exploit per CVE-2021-38000 e CVE-2021-38003”, ha affermato Google nelle note di rilascio.

L’aggiornamento arriverà nei prossimi giorni o settimane, secondo Google.

Ci sono otto correzioni di sicurezza, per lo più legate alla memoria, in questo aggiornamento di Chrome.

Google non ha attribuito gli exploit a nessun gruppo di hacker.

Il fatto che Google abbia corretto un numero insolitamente elevato di difetti zero-day in Chrome nel 2021 potrebbe essere interpretato in diversi modi.

Più vengono scoperti e più velocemente vengono risolti tramite gli aggiornamenti è un bene per gli utenti finali.

Una volta patchato, l’exploit è meno prezioso.

Ciò potrebbe significare che i difensori stanno migliorando nell’individuare gli zero-day.

D’altra parte, Google Project Zero ha visto un aumento degli zero-day che ha colpito le principali piattaforme come Chrome, Windows e iOS nell’ultimo anno.

La ragione di ciò potrebbe essere la commercializzazione del mercato degli exploit zero-day, che fornisce una scorciatoia per l’acquisizione di exploit che altrimenti richiedono competenze per svilupparsi.

 

Playblog.it

Netflix        News        Serie TV        Film        Amine        

Apple        Android        Tecnologia        Prime Video        Offerte        Disney+

 

Seguici su Facebook      Twitter      Pinterest
Seguici su TelegramNetflixOfferte Amazon PrimePrime Video

POST CORRELATI

Samsung Galaxy Watch 3: l’aggiornamento porta 3 nuove funzioni

Alessio PlayBlog.it

Il bug repojacking di GitHub consentiva di acquisire il controllo dei repository di altri utenti

playblog.it

Firefox e Chrome si confrontano sulle estensioni di blocco degli annunci

Leonardo Playblog.it

Lascia un commento